Nhóm tin tặc APT3 sử dụng lỗ hổng OLE trên Windows

Nhóm tin tặc AP3 được cho rằng là chủ mưu đứng đằng sau  ‘Operation Clandestine Fox’, một chiến dịch lần đầu tiên được công bố trong tháng 4 khi nhóm này bắt đầu sử dụng một lỗ hổng zero-day trên Internet Explore vào các cuộc tấn công.

Vào tháng 5, APT3 đã bắt đầu nhắm mục tiêu cụ thể vào các máy tính Windows XP chạy Internet Explore 8. APT3 sử dụng mạng xã hội nhằm lừa mục tiêu cài đặt mã độc.

APT3… nhóm tin tặc chịu trách nhiệm chính cho ‘Operation Clandestine Fox’ đã lén lút gửi hàng loạt thông điệp tới các mục tiêu của mình trong vài tháng qua. APT3 đã bắt đầu hàng động chiến dịch gần đây nhất là vào 19 tháng 11 nhắm đền nhiều tổ chức. Tin tặc đã khai thác nhiều lỗ hổng bao gồm CVE-2014-6332 và CVE-2014-4113. CVE-2014-6332  được công khai từ 11 tháng 11 và là một lỗ hổng Windows OLE Automation Array Remote Code Execution. CVE-2014-4113 là một lỗ hổng leo thang đặc quyền được công bố vào ngày 14 tháng 10.” – Các nhà nghiên cứu FireEye cho biết.

“APT3 đã được biết đến với việc phát tán chiến dịch lừa đảo thông qua lỗ hổng zero-day. Việc sử dụng các mã khai thác đã biết và thường xuyên tấn công có thể chỉ ra tầm ảnh hường và sự phát triển liên tục trong hoạt động của nhóm tin tặc”.

CVE-2014-6332 đã được vá vào đầu tháng trong bản vá Patch Tuesday. Lỗ hổng này gây ra sự chú ý bởi nó có thể đã bị khai thác trong gần 20 năm. Lỗ hổng ảnh hưởng trên tất cả các phiên bản Windows từ Windows 95 trở lên và đã được khai thác từ xa ở phiên bản Internet Explore 3.0.

CVE-2014-4113 tồn tại khi trình điều khiển Windows kernel-mode xử lí sai đối tượng trong bộ nhớ. Tin tặc có thể khác thác để thực thi lệnh tùy ý trong chế độ kernel.

Securityweek